최근 몇 년 간 SolarWinds 공급망 공격, Colonial Pipeline 랜섬웨어 공격과 같은 일련의 사이버 보안 사고가 빈번히 발생했으며 주요 인프라 보호를 포함한 여러 국가의 사이버 보안 보증 시스템의 구현 효율성이 지속적으로 검증되었다. 국ㄱ ㅏ안보에 중요한 영향을 미치는 종요 정보 인프라 분야의 위험 탐지 및 방어 능력을 더욱 강화하는 방법, 규제 당국이 보안 상황을 적시에 파악하도록 보장하는 방법, 네트워크 보안 위험을 제거하는 것은 모든 국가의 관심사가 되었다. 최근 호주, 미국, 인도는 사이버 보안 사고 의무 보고 설정, 운영자의 사고 보고 기한 병확화, 국가의 사이버 보안 상황 인식 개선을 시작으로 법률 또는 지침을 연속적으로 통과시켰다.

  • 최근 입법 발전 :

1) 2022년 미국 중요 기반 시설 사고 보고법 2) 2021년 호주 보안법 개정(중요 기반 시설)법 3) 인도 CERT의 지시

 

미국, 호주, 인도의 최근 관련 입법 동향에는 다음과 같은 특징이 있다.

  • 사고 보고에 대한 명확한 시간 요구 사항이 있으며 지정된 시간 내에 가능한 한 빨리 지정된 부서에 보고해야 한다. 특히 인도는 시간 요구 사항이 가장 시급한 국가로, 6시간 이내에 보고해야 하고, 미국은 사이버 보안사고 발생 후 72시간 또는 랜섬웨어 공격에 대해 몸값이 지불된 후 24시간, 미국은 사이버 보안 사고 발생 후 72시간 또는 랜섬웨어 고역에 대해 몸값이 지불된 후 24시간, 호주는 “상당한 영향”을 요구한다. 중요 기반시설 자산에 12시간 이내에 “기타 영향”이 있는 경우 72시간 이내에 보고해야 한다.
  • 한 편, 미국의 주요 기반시설 운영자가 필요에 따라 사고를 보고하지 않는 경우 CISA 국장은 소환장을 발부하고 해당 법인을 상대로 민사 소송을 제기할 수 있다. 호주는 주로 벌금형으로 처벌되며 지정된 부서에 사건을 처리하고 개입할 수 있는 특정 권한을 부여한다. ㅎ주는 기업이 사이버 보안 사고를 해결한 의지가 없거나 해결할 수 없는경우 “최후의 수단”으로 중요 기반 시설 자산을 통제할 수 있다고 규정했다.

 

[출처 : 中보안매체 / 5.12.]